Gauss, el último gran malware detectado, utiliza un nuevo modelo de encriptación, inédito hasta ahora en cuanto a su uso por parte de los cibercriminales

Madrid, 24 de agosto de 2012.– Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder en soluciones de seguridad para Internet, alerta sobre una nueva tendencia en el mundo del cibercrimen que apunta al uso de “ciber-armas” inéditas hasta hace pocos meses y que se caracterizan por sus sofisticados sistemas de encriptación. El caso Gauss, acaecido recientemente, responde al perfil de ataque “dirigido” que se comporta a la vez como un troyano que infecta ordenadores y una “puerta de atrás” (backdoor) que permite suplantar procesos de autenticación. Pero es un ataque que tiene además  una característica especial: los cibercriminales inoculan la “carga útil” o payload del malware (es decir,  lo que el propio virus es capaz de hacer al activarse, como por ejemplo robar datos, eliminar archivos, etc) directamente en el sistema atacado. Estos nuevos ataques se caracterizan por ser procesos estudiados al detalle, en el que los cibercriminales inoculan la “carga” en el sistema, pero antes buscan aspectos específicos de dicho sistema, incluyendo nombres de archivos o carpetas, que utilizan como parte de la clave de desencriptado que descifra y ejecuta el malware. “Esto significa que, de no conocer cómo son el fichero del sistema y su configuración, es prácticamente imposible para los analistas descifrar la ‘carga útil’ y, por tanto, completar su análisis”, explica Mario García, director general de Check Point Iberia“. “Nos enfrentamos, por tanto, a una ciberamenaza muy sofisticada, que demuestra que el malware va perfeccionando sus técnicas día a día” La técnica IBE de encriptación Una nueva ciberarma como Gauss se caracteriza también por seguir un modelo de encriptación que en los últimos meses se está convirtiendo en una verdadera tendencia: el modelo IBE (Host Identity-Based Encryption) que inocula un programa en un ordenador determinado utilizando un único identificador. Los creadores de FlashBack, una botnet que comprometió más de 500.000 ordenadores Mac OSX a principios de este mismo año, fueron los primeros en implementar está técnica. Cuando un sistema era infectado con FlashBack a través de una vulnerabilidad Java concreta, la “carga útil” no era el verdadero malware, sino que era una pequeña carga que utilizaba un identificador único de la máquina atacada. Este identificador viajaba de vuelta al servidor de control de los cibercriminales y era utilizado para encriptar, comprimir y ofuscar la versión completa del virus que era la que realmente infectaba con posterioridad el sistema. “Esto significa que esta nueva versión solo funcionaría en un ordenador con un UUID idéntico, complicando el análisis de esta amenaza, ya que los sistemas automatizados de análisis de malware serían automáticamente expulsados”, señala Mario García. “Técnicas como IBE representan un nuevo reto al que enfrentarse en materia de seguridad y el payload Gauss un ejemplo más de la evolución continuada de las ciberarmas”, concluye García.